如何解决AD域控制器上的Kerberos-Key-Distribution-Center报错问题

Question

陆续FSMO服务器上发现在报票据问题,这是其中一台的:

密钥发行中心 (KDC) 在处理另一张票据请求时，遇到了一张不包含请求该票据的账户信息票据。这使安全检查无法运行，并可能打开安全漏洞。请参阅 https://go.microsoft.com/fwlink/?linkid=2173051 了解更多信息。

 票据 PAC 由以下人员构建: MSADOS
 客户端: PANHENGAD.COM\MSZBOS$
 票据为: krbtgt

这个错误 ,按照https://go.microsoft.com/fwlink/?linkid=2173051的说法由于缺乏 2021和2022年的补丁导致的 然后我更新了目标服务器 的补丁(由于2021和2022补丁以及废弃):

PS C:\Users\administrator.PANHENGAD> Get-HotFix

Source        Description      HotFixID      InstalledBy          InstalledOn
------        -----------      --------      -----------          -----------
MSADOS        Update           KB3199986     NT AUTHORITY\SYSTEM  2016/12/14 0:00:00
MSADOS        Security Update  KB5012170     NT AUTHORITY\SYSTEM  2026/1/8 0:00:00
MSADOS        Security Update  KB5070247     NT AUTHORITY\SYSTEM  2026/1/8 0:00:00
MSADOS        Security Update  KB4103723     NT AUTHORITY\SYSTEM  2026/1/8 0:00:00
MSADOS        Security Update  KB5071543

但是第二天发现还是在报这个问题 有点抓瞎了 有大佬知道什么情况吗?

Answer 1

Hi 天宇 陈

这是 Kerberos PAC 强化触发的 KDC 事件（常见为 Event ID 37），根因通常是域内 并非所有域控与客户端都按阶段安装了相关安全更新，或仍存在未合规的旧版域控/设备，导致票据不含请求账户信息而被记录审计/阻断。 请按微软指引检查并完成两条线：一是 CVE‑2021‑42287 / PAC Requestor Enforcement（KB5008380），确认所有域控已装 2021‑11 及后续更新，并在过渡期按需设置 HKLM\System\CurrentControlSet\Services\Kdc\PacRequestorEnforcement（审计/强制）；二是 PAC Validation（KB5037754），从 2024‑04 起到 2025‑04 已进入默认强制阶段，要求域控与客户端全部跟上，否则会持续出现此类事件。 如果林/域中仍有 Windows Server 2008/2008 R2 域控且未购买 ESU 并应用相应 OOB 补丁，会持续触发该错误，需 尽快下线或升级该域控。 在 Windows Server 2016 (10.0.14393) 上，确保安装到最新累积更新，不仅是 KB5012170（Secure Boot DBX）；随后执行：repadmin /showrepl 与 dcdiag 纠正复制/健康问题；并按最佳实践 重置 KRBTGT 密码两次（间隔一次 KDC 完整复制）。 审计期内事件会按账号逐个出现是正常现象；进入强制模式后若仍告警，说明仍有未更新或跨域/信任路径上未符合新 PAC 验证的设备，需要继续排查到客户端层面。 总步骤：补齐域控与客户端所有安全更新→确认注册表模式（审计→强制）→剔除/升级不合规旧域控→复查 AD 健康与时间同步→重置 KRBTGT→观察告警是否清零。上述流程即为微软官方建议的迁移/强化路线。

希望这里的内容对你有帮助。如果这些信息能帮助你更好地理解问题，欢迎接受答案；如有更多疑问，请继续留言。祝你有美好的一天！

Harry.